DefenderのオフラインDBサイズはほとんど同じですか.
私が気になっていることに気が乏しい何か、そして私はマイクロソフトの誰かがより多くの光を当てることができるのだろうか.
Defenderのウイルスデータベースサイズは、経時的にほとんど同じままです.しばらくの間徐々に成長する可能性がありますが、サイズが低下します.それから成長を再開します.
DBはBase + Deltaファイルで構成されています.2つのマージ方法が大きくなる可能性があるが、基本DBがどのように縮小することができるかはどのようになるかがわかりました.数年間で平均して、それはほぼ同じサイズを保ちます.
新しいウイルスシグネチャが追加されていて、削除されていないと仮定すると、その可能な可能性はどうですか?
返信リスト(回答:5)
Cyberは、類似の一部の一部を含むことができるので、多くの種類のマルウェアを「家族」にグループ化することができますが、同じ定義のセットに似た一連のコードを検出することができます.
実際にはかなり複雑です.
まず、PC上にあるローカル定義データベースは、既知のマルウェアデータベース全体の小さな部分を表すことを理解する必要があります.
2GBのディスクを埋めるのに十分な個々のマルウェアサンプルを含めました.
つまり、定義シグネチャはほとんどのマルウェアサンプルよりもはるかに小さいが、このデータベース全体がローカルデバイスに配置されていないことも、このデータのすべてを管理するために必要なストレージまたは電力を持っていないことも意味がありません.
それは明らかにこのデータを他のどこかに保持されなければならず、それは再び「クラウド」にあるMicrosoftサーバー、つまりインターネット上のMicrosoftサーバー上にある必要があります.
実際に発生していることは、リアルタイム、自動、またはマニュアルであろうと、PC上で行われているのが、ローカル検出センサ、シグネチャ、およびプロセスがすべての既知の個々のマルウェア「シグネチャ」、またはアクティビティを検出するように設計されていることです.
正確なマルウェアを識別するか、それ自身でそれを取り除きます.代わりに、最も一般的なまたは最近のマルウェアの「キャッシュ」は、ローカルPCデータベースに代表されているものですが、それはクラウド内にあるはるかに大きなデータベースストアによって拡張されています.
PCは攻撃時にインターネットに接続されていますが、必要な場合はこの情報をローカルのAntimwareクライアントから要求することができます.
プロセスは実際にこれを仮定しているので、Scanが発生すると、最後のステップはすべてのローカル検出を持つMicrosoftサーバーに要求を行い、シグネチャ、ファイルデータ、および詳細を指定します.
クラウドベースのサービスは、Microsoft Advanced Protection Service(Maps)と呼ばれます.サーバーはこの情報を使用して、アイテムが真にマルウェアであるかどうか、あるいはおそらく偽のプラス
検出、および最新の変形例のための検出および削除指示の両方への更新を含めることができる最新の定義を含む、検出、およびこの情報をあなたのPCに返す.
これもまた、さまざまなセンサーディフェンダーによって検出された可能性のある新しいマルウェアの潜在的な検出をより完全な情報のアップロードを送信することを可能にするように構成されているPCが、そのようなシステムのようなシステムの重要な部分にあることを可能にする.
たとえば、ネットワーキングやブラウザ.この追加情報は、誤検知を前提としている可能性がありますが、そうでない場合は、マイクロソフトによって自動的に処理されるリアルタイム保護による新しいマルウェアのほぼ瞬間的な検出を可能にします.
クラウドベースの機械学習モジュール
これを自分自身を説明しようとするのではなく、これがどのように機能するか、そしてそれがどのようにして関与する必要がある人間のアナリストとどの程度を管理しているかについて説明します.
Microsoft Defenderで次世代テクノロジを使用してくださいクラウド配信された保護によるウイルス対策-Windowsセキュリティマイクロソフトドキュメント
最後に、古いversionのWindowsが廃止され、Windows 10の一部が廃止予定で削除されるため、実際にはデータベースから少なくとも一部の項目を削除する理由もあります.攻撃または影響を受けたマルウェア
それらを取り除くことができます.これには、Windows内に虐待された脆弱性またはアプリコードが見つかった、修正され、新しいコードがアップデートを介して展開されたマルウェアも含まれます.もちろん、この後者の状況は起こり得ない
残念ながら、タイムリーなアップデートを実行していないマシンが多すぎるので、これらは少なくとも特定のversionまたはサブversionのWindows 10がサポートされなくなるまで、データベースに間違いなく残る必要があります.
rob
応答4# ->にスキップ3 #GGimcyber_defend_team:
冗長性の削除、または最新の圧縮の削除は、デルタDBをベース1にマージするときに予想されるものです.しかし、合計データベースサイズをほぼ同じに保つために、それは一年後に無期限に働くことはできません. rob:
私はディフェンダーにインターネットにアクセスさせないでください、それで私は一般的な検出を説明できるとは思わない.しかし、不正行為を検出すると、興味深く聞こえます.ブルームフィルタと同様のアルゴリズムは?私は今日から実際のクリーニングがどのくらいうまくいくかわかりませんあなたは他のプログラムに感染する多くのウイルスに遭遇しません.珍しいことの擁護者は、通常はトロイの木馬/マルウェアカテゴリに陥ることを訴え、これらはただ隔離されているので、実際にあるかもしれない
不正確.
ちなみに、私は最近終わったことがありませんが、私は数年後にいくつかのDOSウイルスをチェックし、ほとんどが検出されました.だから、たくさんのことは、まったくDBから削除されていません.
さまざまなAVソフトウェアのDBサイズを比較するのは面白いでしょう.クラマブリー MAIN+DAILYは約220MBを組み合わせたものです.擁護者と同じボールパーク.多分Clamavのソースコードはそれがどのように機能するかを明らかにするかもしれません.
応答3# ->にスキップ1 #Cyberここに小さなヒントを共有しましょう、そしてあなたはPowerShellを開き、次のコマンドを入力することができます
get-mpthreatcatalogとそれはWindows Defenderによって検出されているマルウェアをリストします.
応答3# ->にスキップ2 #RobKochあなたはそれが一般的な検出を説明していないが、本当に地元のマルウェアがインターネットを介して遭遇したものと比較して比較的まれであるため、必要はない.それで、あなたのパラノイアがインターネットへの擁護者へのアクセスを許可することに関連している場合
他のほとんどのアプリにも同様に、1ヶ月ごとに更新されたキャッシュデータベースには見つからないものは何でも遭遇する可能性は低いです.CABファイルを介してより重大なWindowsファイルを完全に削除するか、またはWindows USBソースを使用して修理を実行することは、通常、マルウェアの清掃が比較的珍しくあります.
有効なデジタル署名を必要とする実行可能ファイルに対して可能です.オリジナルの質問に焦点を当てるには、符号化や可能性のある開発経験に関する明らかにより具体的な知識に基づいて、データベースが変動し、成長しない理由は比較的簡単な説明を持ちます.各新しいデータベースは本当に結合されています
更新されたコードセグメントを含む一連の定義のセットは、そのリリース用語の先頭からのフルリフレッシュを含む更新プログラムとともに、最近のアップデートを更新するためだけに最適な更新プログラムを含みます.
1日前後に.各リリースが署名とエンジンの両方を含むデータベース形式全体の再編成であるため、Windows Defender自体を操作するコアコードだけがめったにありません.これは、アントラルウェアチームが完全に再フォーマットできることを意味します
パフォーマンスとデータベースの構造やサイズの間で最適化するための署名セットとエンジンの組織は、それらが類似のマルウェアのより最近のグループ化を網羅することを可能にします.これが、データベースサイズが変動する理由であり、これは一般的なマルウェアを中心としているということですが、これらは、同様のシグネチャ特性と修復オプションに基づいて比較的広い範囲の個々のマルウェアを検出できます.あなたがほとんどのアイテムを述べたようにそれ以来
掃除されなくなったため、この修復は可能性が高いため、どの標準オプションを削除するか、隔離、または無視がデフォルトと見なされます.これらの最適化を圧縮と高効率で特定のデータベースで組み合わせる
管理方法とあなたは、本当に異なるマルウェアが実際には一般的ではないので、多数のグループ化されたマルウェアを管理する能力を持っていますが、一方、悪用や検出署名の組み合わせは通常です.rob
マイクロソフトのアンチマルウェアチームが署名の最適化に取り組んでいる多くの方法で、いくつかのマルウェアは類似点を持つので、それらの1つの署名を作成する代わりに、それらすべてを検出して削除するために一般的な署名を書くことが可能です.加えて、
品質の向上とシグネチャのサイズを削減することが重要であり、ソースコードを最適化するためにさまざまな方法が使用されます.
しかし確かに最新の署名には、以前に検出されたすべてのマルウェアと新しいものが含まれています.